#10 Vereine

Vereine – Das Ehrenamt

Heute beschäftigen wir uns mit einem sehr wichtigen Thema für viele von uns und geben auch eine Checkliste zur Umsetzung heraus. Tagtäglich gehen viele Tausend Menschen ihren ehrenamtlichen und freiwilligen Tätigkeiten in Vereinen, in Verbänden oder karitativen Einrichtungen nach, ohne dafür einen Lohn zu beziehen. Das Ehrenamt hat einen hohen Stellenwert und ist Teil einer funktionierenden Gesellschaft.

Auswirkungen der DSGVO auf das Ehrenamt

Offenbar macht die Umsetzung der DSGVO noch vielen zu schaffen. Die freiwilligen Helfer sehen sich überfordert mit Dingen wie eine Einverständniserklärungen für die Erstellung und Veröffentlichung von Fotos, Datenschutzerklärungen für die Vereinswebsite oder mit umfangreichen Dokumentationspflichten für sämtliche Unterlagen.

Datenschutz auch im Verein verpflichtend!

Die DSGVO ist gemäß Art. 2 Abs. 1 DSGVO grundsätzlich für alle öffentlichen und nichtöffentlichen Stellen verpflichtend sobald personenbezogene Daten ganz oder teilweise automatisiert verarbeiten werden.

Darüber hinaus ist insbesondere bei kleineren Vereinen der Irrglaube weit verbreitet, dass man keinen Datenschutz betreiben müsse, wenn man nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. An dieser Stelle: Totaler Quatsch!

Die Probleme des ehrenamtlichen Datenschützers fangen sozusagen ganz vorne an. Für Vereine, Verbände und andere Institutionen, gelten grundsätzlich die gleichen Vorschriften wie für jedes Unternehmen, jede öffentliche Einrichtung und jeden  Konzern. Für alle Verarbeiter gilt somit die DSGVO.

Eine Ausnahme bilden hier zwar (theoretisch) kirchliche Institutionen, welche das Recht hatten, eigene Regelungen zu erlassen. Die beiden großen Kirchen in Deutschland haben davon auch Gebrauch gemacht, allerdings haben sich diese inhaltlich sehr stark an den Vorschriften der DSGVO bzw. am BDSG orientiert

Schwierigkeiten für Vereine

Die Erfahrung zeigt, dass viele Unternehmen noch immer erhebliche Schwierigkeiten haben, die Vorgaben der DSGVO umsetzen. So ist es fast eine logische Konsequenz, dass dies für Vereine erst recht schwerfällt. Schließlich sind hier nur äußerst selten fachkundige Kräfte vorhanden, welche die komplexen datenschutzrechtlichen Vorgaben sicher beherrschen. Hinzu kommt, dass gerade bei kleinen und kleineren Vereinen schlicht die „Manpower“ für die Umsetzung fehlt. So zeigt sich vermehrt das Problem, dass die datenschutzrechtliche Verantwortung gerade an den Ehrenamtlichen „hängenbleibt“. Der Berateralltag zeigt, dass insbesondere die Umsetzung von technischen und organisatorischen Maßnahmen enorme Schwierigkeiten bereitet.

Oftmals ist bereits das technische Know-How nicht ausreichend. Es ist immer wieder zu erleben, dass beispielsweise keine Verschlüsselung von Daten (auf Festplatten, USB-Sticks etc.) stattfindet, obwohl diese aus datenschutzrechtlicher Sicht notwendig wäre. Dies ist meist auf mangelnde technische Fähigkeiten oder mangelnde Kenntnis zurückzuführen. Im Extremfall kann dies, vor allem bei Gesundheitsdaten oder bei Daten von Minderjährigen, schwerwiegende Folgen haben.

Vereine müssen wie jedes andere Unternehmen die datenschutzrechtlichen Vorgaben ausführen!

Checkliste

Wie schon erwähnt, ist das Datenschutzrecht sehr komplex. Unsere Checkliste zeigt einen kleinen Einblick der verschiedenen Aufgaben für ein konformes Datenschutzsystem bei Vereinen bzw. im Ehrenamt.

Rechtsgrundlage zur Verarbeitung von Mitgliederdaten

Personenbezogene Daten sollten nur dann erhoben, gespeichert und verarbeitet werden, wenn eine Rechtsgrundlage hierfür vorliegt. Einwilligungen werden am besten über den Mitgliedervertrag eingeholt oder bei Änderungen über ein gesondertes Informationsschreiben. Grundsätzlich ist dies auch immer ein Punkt in der Satzung des Vereins.

Speicherung von personenbezogenen Daten

Prinzipiell sollten nur Daten erhoben, gespeichert und verarbeitet werden, die auch für den jeweiligen Zweck erforderlich sind. Gespeichert werden die Daten nur so lange, wie sie auch benötigt werden – immer unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen.

Datenschutzbeauftragter

Sind mehr als 20 Mitglieder mit der Verarbeitung personenbezogener Daten beschäftigt, braucht es einen Datenschutzbeauftragten.

Verzeichnis über Verarbeitungstätigkeiten und ToM´s

Hier wird genau aufgeführt, wo welche Daten zu finden sind und wer darauf einen Zugriff hat. Diese Verzeichnis muss auch der Aufsichtsbehörde zur Verfügung gestellt werden wenn diese es anfordert. Außerdem hilft es bei der Umsetzung der Rechte für Betroffene. Außerdem müssen die technischen und organisatorischen Maßnahmen beschrieben werden.

Information der Mitglieder zur Datenverarbeitung

Dies geschieht am besten schon bei der Aufnahme im Verein, hier kann ein gesondertes Blatt zur Informierung beigelegt werden. Bei Änderungen können langjährige Mitglieder ebenfalls über ein gesondertes Schreiben informiert werden. Diese muss von den jeweiligen Mitgliedern unterschrieben werden, nur dann gilt sie als rechtliche Absicherung des Vereins.

Auftragsverarbeitungsverträge mit Drittdienstleistern

Nutzt der Verein z.B. eine Cloud-Lösung, so werden die Daten von Drittanbietern weiterverarbeitet. Hierzu sollten ebenfalls Verträge den Umgang mit den Daten sichern. Gleiches gilt für den Hoster Ihrer Webseite.

Verpflichtung der datenbezogenen Arbeit nach DSGVO

Ein jeder, der im Verein mit personenbezogenen Daten arbeitet, hat sich an die Richtlinien der Datenschutzgrundverordnung zu halten und ist entsprechend vorher darüber aufzuklären. Entsprechende Datenschutzverpflichtungen sollten erstellt und unterschrieben werden.

Rechte der Betroffenen

Auch Vereine müssen in der Lage sein die Rechte der Betroffenen umzusetzen.

Risiko der Datenverarbeitung

Wie hoch ist das Risiko der Datenverarbeitung im Verein? Dies gilt es ebenfalls zu prüfen und falls notwendig, entsprechend eine Datenschutz-Folgeabschätzung durchzuführen.

Sicherheit in der personenbezogenen Datenverarbeitung

Hier gilt es, die Technik stets auf dem neusten Stand zu halten, ausreichend Passwortschutz zu bieten und Benutzerrechte klar auf die Personen einzuschränken, die auch tatsächlich mit den Daten arbeiten müssen.

BG-Solution

Wir möchten uns an dieser Stelle für Vereine stark machen und bieten gesonderte Konditionen für das Ehrenamt. Gern stehen wir als externer Datenschutzbeauftragter zur Seite oder implementieren Ihnen einmalig alle erforderlichen Unterlagen.